13日,新浪医药从官网国家卫健委获悉,为加强健康医疗大数据服务管理,推动“互联网健康医疗”发展,充分发挥健康医疗大数据作为国家重要基础战略资源的作用,国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》号文件。
附:国家健康医疗大数据标准、安全和服务管理办法(试行)文件
第一章总则
第一条为加强健康医疗大数据服务管理,促进“互联网健康医疗”发展,充分发挥健康医疗大数据作为国家重要基础战略资源的作用,根据《中华人民共和国网络安全法》 《国务院促进大数据发展行动纲要》 《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》等法律法规和《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件精神,制定本办法。
第二条国家根据国家战略安全和人民生命安全需要,在保障公民知情权、使用权和个人隐私的基础上,规范中华人民共和国境内中国公民产生的健康和医疗数据的管理、开发和利用。
第三条坚持以人为本、创新驱动、规范有序、安全可控、开放集成、共建共享的原则,加强健康医疗大数据的标准管理、安全管理和服务管理,推进健康医疗大数据应用惠民,促进健康医疗大数据产业发展。
第四条本办法所称健康医疗大数据,是指在人民群众疾病预防和健康管理过程中产生的与健康医疗相关的数据。
第五条本办法适用于县级以上卫生行政部门(含中医药主管部门,下同)、各级医疗卫生机构、相关单位和个人涉及的健康医疗大数据管理。
第六条国家卫生健康委员会(含国家中医药管理局,下同)会同有关部门负责统筹规划、指导、评估和监督国家健康医疗大数据的标准管理、安全管理和服务管理。县级以上卫生行政部门会同有关部门负责本行政区域内健康医疗大数据管理工作,是本行政区域内健康医疗大数据安全和应用管理的监管单位。
各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。
第二章标准管理
第七条健康医疗大数据标准管理遵循政策引导、加强监管、分类指导、分级管理的原则。
第八条国家卫生健康委员会负责统筹规划,组织制定国家健康医疗大数据标准,监督指导评估标准应用,在现有基础通用大数据标准基础上组织制定健康医疗大数据标准体系规划,组织制定实施年度健康医疗大数据标准工作计划。省级卫生行政部门(含省级中医药主管部门)负责对本地区健康医疗大数据标准应用进行监督、指导和评估。根据国家健康医疗大数据标准体系规划,结合本地实际,负责指导和监督全省健康医疗大数据标准体系的实施。
第九条国家卫生健康委员会鼓励医疗卫生机构、科研教育单位、相关企业或者行业协会、社会团体等。参与健康医疗大数据标准的制定。公民、法人或者其他组织可以提出健康医疗大数据标准修订项目建议书,并提交相应的标准项目建议书。
第十条国家卫生健康委员会负责统一组织实施,选择健康医疗大数据标准的起草单位和负责人,倡导多方参与的合作机制,各相关单位组成合作小组参与
第十三条卫生行政部门应当对标准化健康医疗大数据产品的生产和采购建立相应的激励约束机制,积极推进健康医疗大数据标准化和评估工作,并将评估结果与医疗机构评价挂钩。
第十四条国家卫生健康委员会应当加强健康医疗大数据技术产品和服务模式的标准体系和制度建设,组织开展健康医疗大数据标准应用效果评估,并根据评估情况修订或废止相关标准。
第十五条国家卫生健康委员会基于健康标准管理平台,对健康医疗大数据标准开发应用进行动态管理,对各级医疗卫生机构、企事业单位标准应用情况进行动态监测。
第三章安全管理
第十六条健康医疗大数据安全管理是指数据采集、存储、挖掘、应用、运行、传输等环节的安全和管理,包括国家战略安全、人民生命安全和个人信息安全的权责管理。
第十七条责任单位应当建立健全相关安全管理制度、操作规程和技术规范,落实“一把手”责任制,加强安全保障体系建设,加强统筹管理、协调监督,保障健康医疗大数据安全。
涉及国家秘密的健康医疗大数据的安全、管理和使用,按照国家有关保密规定执行。责任单位应当建立健全涉及国家秘密的健康医疗大数据管理和使用制度,严格管理数据的制作、审核、登记、复制、传输和销毁。
第十八条责任单位应当采取数据分类、重要数据备份、加密和认证等措施,确保健康医疗大数据的安全。责任单位应当建立可靠的数据灾难恢复和备份工作机制,定期进行备份和恢复检测,确保数据能够及时、完整、准确地恢复,实现历史数据的长期保存和归档管理。
第十九条责任单位应当按照国家网络安全等级保护制度要求,构建可信网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提高关键信息基础设施和重要信息系统安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。医疗大数据中心及相关信息系统应进行分级、备案和评估。
第二十条健康医疗大数据相关系统的产品和服务提供者应当遵守国家相关网络安全审查制度,不得中断或者变相中断合理的技术支持和服务,应当为健康医疗大数据在不同系统之间的交互、共享和运行提供安全、便利的条件。
第二十一条责任单位应当依法依规使用健康医疗大数据相关信息,提供安全的信息查询和复制渠道,保障公民隐私保护和数据安全。
第二十二条责任单位应按照《中华人民共和国网络安全法》的要求,严格规范不同级别用户的数据访问和使用权限,确保数据在授权范围内使用。任何单位和个人不得使用和发布未经授权或未经许可的健康医疗大数据,不得采用非法手段获取数据。
第二十三条责任单位应当建立严格的电子实名认证和数据访问控制,规范数据访问、使用和销毁过程中的痕迹管理,确保健康医疗大数据访问行为可控可管,服务管理全过程留痕,可查询可追溯。任何数据泄露事故和风险都可以追溯到相关责任单位和责任人。
第二十四条建立健全健康医疗大数据安全管理人才培养机制,确保相关从业人员具备健康医疗大数据安全管理所需的知识和技能。
第二十五条责任单位应当建立健康医疗大数据安全监测预警体系,建立网络安全通报和应急响应联动机制,开展数据安全规范和技术规范研究,不断丰富网络安全相关标准规范体系,重点防范数据资源的集群化风险和新技术应用的潜在风险。重大网络安全事件应当按照相关法律法规和相关要求进行报告和处置。
第四章服务管理
第二十六条国家卫生健康委员会负责制定健康医疗大数据应用领域的相关规范和标准,建立健康医疗大数据应用的诚信机制和退出机制,制定健康医疗大数据挖掘和应用的安全和管理规范。
第二十七条责任单位实施健康医疗大数据管理和服务,应当依照法律法规和相关文件,遵循医学伦理原则,保护个人隐私。
第二十八条责任单位应当根据自身健康医疗大数据管理的需要,明确相应的管理部门和岗位,根据国家授权,实行“统一分级授权、分类应用管理、权责一致”的管理制度,建设相应的健康医疗大数据信息系统作为技术和管理支撑。
第二十九条责任单位采集健康医疗大数据时,应当严格执行国家和行业相关标准和规程,符合业务应用技术标准和管理规范,做到标准统一、术语规范、内容准确,确保服务和管理对象在本单位信息系统中具有唯一的身份和一致的基础数据项。收集的信息应严格执行信息最终审核程序,并做好数据质量管理。
第三十条责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,加强健康医疗大数据的存储管理。医疗大数据应该存储在国内安全可靠的服务器上。因业务需要确需在境外提供的,应当按照相关法律法规和相关要求进行安全评估和审核。
第三十一条责任单位在选择健康医疗大数据服务提供商时,应当确保其符合国家和行业法规要求,具备履行相关法律法规、执行相关标准、保障数据安全的能力,建立数据安全管理、个人隐私保护、应急管理等管理制度。
第三十二条责任单位委托相关机构存储运营健康医疗大数据,委托单位和受托单位共同承担健康医疗大数据的管理和安全责任。受托单位应严格按照相关法律法规和委托协议,做好健康医疗大数据的存储、管理和运营工作。
第三十三条责任单位应当根据服务和管理需要,及时更新、筛选、优化和维护健康医疗大数据,确保信息处于最新、持续、有效、优质、安全的状态。
第三十四条责任单位发生变更时,应当将其管理的健康医疗大数据完整、安全地移交给承担其职能延续的机构或者本行政区域内的卫生行政部门,不得造成健康医疗大数据的损毁、丢失或者泄露。
第三十五条责任单位向社会公开健康医疗大数据时,应当遵守国家有关规定,不得泄露国家秘密、商业秘密和个人隐私,不得侵犯国家利益、社会公共利益和公民、法人及其他组织的合法权益。
第三十六条责任单位应当加强健康医疗大数据的使用和服务,创造条件规范健康医疗大数据的使用,推进部分健康医疗大数据的在线查询。
第三十七条国家卫生健康委员会负责建立健康医疗大数据开放共享工作机制,加强
第三十八条卫生行政部门应当加强监督管理,对本行政区域内各责任单位的健康医疗大数据安全管理进行日常检查,指导和监督本行政区域内各责任单位的数据综合利用,提高数据服务质量,确保安全。各级医疗卫生机构应当接入相应的区域国家卫生信息平台,传输和备份医疗卫生服务产生的数据,并向卫生行政部门开放监管端口。
第三十九条卫生行政部门应当加强监测评估,定期开展健康医疗大数据平台和服务提供者的稳定性和安全性评估、健康医疗大数据应用的安全性监测评估,建立网络安全防护、系统互联共享、公民隐私保护等软件评估和安全审查保密制度。
第四十条卫生健康行政部门应当会同有关部门建立健康医疗大数据安全管理责任追究制度。对违反本办法规定的单位和个人,主管部门应视情节轻重进行约谈、督促整改、诫勉、通报批评、处罚或提出处罚建议;构成违法行为的,移送司法部门依法追究法律责任。
第六章附则
第四十一条本办法自发布之日起施行。
(新浪医药整理)